REST APIの認証方法を調べてみたある日、REST APIの認証方法をまとめる(という話を聞く)機会があったのですが、要件と各社の実装方法を照らし合わせるとさまざまなケースが存在して興味深かったので、ブログにまとめてみることにしました。 #OAuthは「認証」ではなく「認可」の機構であるとか、人の認証とプログラムの認証がごっちゃになってたり、いろいろツッコミどころの多い内容かと思いますがご容赦を。。 求められていた要件(と検討ポイント) Webアプリ以外にバッチプログラムからの利用も想定したい 通信経路中での盗聴や改ざんを防止したい APIトークンの発行などのアカウント管理の手間を軽減したい キーやトークンが漏れた場合の対策をどうするか 1については、特に後者の場合だとPINやOut-of-band(OOB)方式が使えそうですが、「それだと初回やセッション切れた時ににブラウザなど別の認証入るよね?」(いわゆる”火入れ”)と
